信息安全工程师综合知识大纲考点：网络攻击案例

【考点分析】：重点掌握。熟记DDoS攻击过程步骤，能认出DDoS攻击手段对应的图，熟悉W32.Blaster.Worm感染过程。

【考点内容】：

一、DDoS攻击

DDoS(Distributed Denial of Service)利用合理的请求造成资源过载，导致服务器不可用。它的整个攻击过程可分为以下五个步骤：

1、通过探测扫描大量主机，寻找可被攻击的目标

2、攻击有安全漏洞的主机，并设法获取控制权

3、在已攻击成功的主机中安装客户端攻击程序

4、利用已攻击成功的主机继续扫描和攻击，从而扩大可被利用的主机

5、当安装了攻击程序的客户端，达到一定的数量后，攻击者在主控端给客户端攻击程序发布命令，同时攻击特定的主机

DDoS常用的攻击技术手段：HTTP Flood攻击、SYN Flood 攻击、DNS放大攻击等。

◆HTTP Flood攻击：利用僵尸主机向特定目标网站发送大量的HTTP GET请求，以导致网站瘫痪。

◆SYN Flood攻击：利用TCP/IP协议的安全缺陷，伪造主机发送大量的SYN包到目标系统，导致目标系统的计算机网络瘫痪。

◆DNS放大攻击：攻击者假冒目标系统向多个DNS解析服务器发送大量请求，而导致DNS解析服务器同时应答目标系统，产生大量网络流量，形成拒绝服务。

(注：要熟悉以上3种攻击手段示意图，考到了至少要认的出来，官方教材第二版40-41页)

二、W32.Blaster.Worm

W32.Blaster.Worm是一种利用DCOM RPC漏洞进行传播的网络蠕虫，其传播能力很强。感染蠕虫的计算机系统运行不稳定，系统会不断重启。并且该蠕虫还将对Windowsupdate.com进行拒绝服务攻击，使得受害用户不能及时地得到这个漏洞补丁。

感染攻击过程如下：

(1)创建一个名为BILLY的互斥体，如果这个互斥体存在，蠕虫将放弃感染并推出。

(2)在注册表中添加下列键值∶”windows auto update”=”msblast.exe”，并且将其添加至∶HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft'Windows\CurrentVersion\Run，这样就可以使蠕虫在系统被重启的时候能够自动运行。

(3)蠕虫生成攻击IP地址列表，尝试去感染列表中的计算机，蠕虫对有DCOM RPC漏洞的机器发起TCP 135端口的连接，进行感染。

(4)在TCP 4444端口绑定一个cmd.exe的客户端。

(5)在UDP port 69口上进行监听。如果收到了一个请求，将把Msblast.exe发送给目标机器。(6)发送命令给远端的机器使它回联已经受到感染的机器并下载Msblast.exe。

(7)检查当前日期及月份，若当前日期为16日或以后，或当前月份处在9月到12月之间，则W32.Blaster.Worm蠕虫将对windowsupdate.com发送TCP同步风暴拒绝服务攻击。

三、网络安全导致停电事件(了解即可)

乌克兰电力系统遭受攻击事件：黑客首先利用钓鱼邮件，欺骗电力公司员工下载了带有BlackEnergy的恶意代码文件，然后诱导用户打开这个文件，激活木马，安装SSH后门和系统自毁工具Killdisk，致使黑客最终获得了主控电脑的控制权。最后，黑客远程操作恶意代码将电力公司的主控计算机与变电站断连并切断电源同时，黑客发送DDoS攻击电力客服中心，致使电厂工作人员无法立即进行电力维修工作。